Créer et nommer un profil d’événement pour l’intégration d’ingestion d’événements Splunk Enterprise Security

Rversion finale: Yokohama

Mis à jour 30 janv. 2025

53 minutes de lecture

Vous créez un profil d’événement dans votre Now Platform instance et déterminez quels Splunk événements notables créent des incidents de sécurité.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Avant Now Platform Réponse aux incidents de sécurité que les incidents de sécurité (SIR) ne soient créés à partir d’événements notables ingérés, les valeurs de champ des alertes sont affichées sur une mise en page d’un Now Platform incident de sécurité afin que vous puissiez prévisualiser la façon dont l’incident de sécurité réel sera créé.

Du point de vue de l’intégration, à l’aide des API disponibles, Splunk ES les événements notables sont transmis individuellement et manuellement en tant qu’événements notables discrets, ou ils sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre Now Platform instance en fonction du type de profil défini.

Les workflows d’intégration ingèrent différents types d’événements notables, tels que les tentatives d’accès non autorisé et les programmes malveillants, par exemple. Ces événements notables sont ingérés en fonction des profils que vous configurez dans l’environnement Opérations de sécurité de votre instance.

Tous les notables sont initialement ingérés pour un type de recherche de corrélation configuré dans un profil. Les notables ingérés peuvent ensuite être filtrés davantage pour spécifier quels notables créent des incidents de sécurité. Par exemple, vous pouvez préférer les filtres qui créent des incidents de sécurité uniquement pour les événements notables identifiés comme à haut risque. Avant qu’un profil ne soit activé et qu’il crée des incidents de sécurité à partir d’événements notables ingérés, les valeurs de champ individuelles des événements notables sont mappées aux champs correspondants sur une mise en page de l’incident de sécurité pour un aperçu.

Procédure

Les noms des profils d’événements dans votre Now Platform instance doivent être uniques et ne peuvent être mappés qu’à un seul profil d’événement actif à la fois.
L’application Now Platform ingère des notables spécifiques à l’aide des workflows de l’intégration.
Tous les événements notables qui répondent aux critères de sélection dans votre Splunk ES console sont initialement ingérés dans votre Now Platform instance.
Un profil dans votre Now Platform est une encapsulation d’un événement notable dans votre Splunk ES console.
Il existe une relation un-à-un entre les événements notables qui sont ingérés avec un profil et les connexions à votre Splunk ES console : un type d’événement notable pour une connexion.
Pour créer des profils pour les événements notables planifiés, reportez-vous à la section Configurer un profil pour l’ingestion d’événements notables planifiés.
Pour créer des profils pour le transfert manuel d’événements, reportez-vous à la section Configurer un profil pour le transfert manuel d’événements.

Configurer un profil pour l’ingestion d’événements notables planifiés

Selon le profil défini, Splunk ES les événements notables sont automatiquement ingérés dans l’environnement Opérations de sécurité de votre Now Platform instance.

La table suivante répertorie les tâches que vous devez suivre pour configurer un profil pour l’ingestion planifiée d’événements notables :

Tableau 1. Étapes pour configurer un profil pour l’ingestion d’événements notables planifiés
Tâche	Section
Créer un profil d’événement	Reportez-vous à la rubrique Créer des profils pour l’ingestion d’événements notables planifiés.
Sélectionner les événements notables en fonction du nom de recherche de corrélation	Reportez-vous à la rubrique Sélectionner les événements notables en fonction du nom de la règle de corrélation pour le profil pour Splunk ES l’intégration de l’ingestion d’événements.
Mapper les champs d’événements notables	Reportez-vous à la rubrique Mappage des champs d’événement notable pour l’intégration Splunk Enterprise Security.
Créer des mappages personnalisés	Reportez-vous à la rubrique Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (ingestion planifiée).
Prévisualiser l’incident de sécurité	Reportez-vous à la rubrique Prévisualiser l’incident de sécurité pour l’intégration d’ingestion d’événements Splunk Enterprise Security.
Planifier et récupérer les événements notables nouveaux et mis à jour	Reportez-vous à la rubrique Planifier et récupérer les événements notables nouveaux et mis à jour pour l’intégration d’ingestion d’événements Splunk Enterprise Security.
Automatiser les mises à jour et les clôtures d’événements notables en fonction de l’état de l’incident SIR	Reportez-vous à la rubrique Automatiser les mises à jour et les clôtures d’événements notables en fonction de l’état de l’incident SIR.

Créer des profils pour l’ingestion d’événements notables planifiés

Vous pouvez configurer un profil pour que les événements notables soient automatiquement ingérés.

Avant de commencer

Rôle requis : sn_si.admin

Procédure

Pour créer un profil d’événement pour un événement notable ou un type de règle de corrélation dans votre Now Platform instance, accédez à Splunk Integration > Profil d’événement Splunk.
Si le formulaire de profil d’événement n’est Splunk pas affiché, cliquez sur Nom dans la barre de progression.
Cliquez sur Nouveau.

Renseignez les champs.

Un exemple de formulaire rempli suit la table.

Tableau 2.
Champ	Description
Nom	Nom unique pour le profil. Si les noms ne sont pas uniques, une erreur s’affiche et les noms de profil en double ne sont pas enregistrés. Les noms de profil dans votre Now Platform instance doivent être uniques.
Actif	La case à cocher est désactivée par défaut. Vous devez remplir toutes les sections du profil avant de l’activer.
Type	Sélectionnez le type de profil dans la liste de choix. Ingestion d’événements planifiés : ce type de profil prend en charge les événements notables qui sont ingérés sur un calendrier configuré. Renseignez les champs. Transfert manuel d’événements : ce type de profil prend en charge les événements notables qui sont transmis manuellement à partir de votre Splunk Enterprise Security console Incident Review sur demande. Consultez les étapes suivantes pour remplir le formulaire pour ces types de profils.
Source	Splunk Serveur ou extrémité de recherche que vous avez configuré pour ingérer des événements notables. Si plusieurs Splunk serveurs sont configurés, sélectionnez le serveur approprié pour les types d’événements notables qui seront ingérés pour le profil. Vous devez saisir une valeur.
Ordre	La valeur par défaut est 100. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent les mêmes conditions de déclenchement. Le workflow dans le profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description	Texte supplémentaire pour vous aider à distinguer ce profil des autres profils.

La figure suivante est un exemple de formulaire rempli pour un type d’événement notable planifié.

Pour un profil avec un événement notable planifié, choisissez une option pour poursuivre la configuration du profil.

Option	Description
Continuer	Enregistrez le profil et progressez jusqu’à l’étape de sélection d’événement.
Mettre à jour	Enregistrez les mises à jour de ce profil et revenez à la liste des profils d’événements Splunk .
Enregistrer	Enregistrez ce profil et restez sur la page.
Supprimer	Supprimez cet enregistrement de profil et revenez à la liste des profils d’événements Splunk .

Que faire ensuite

L’étape suivante consiste à sélectionner des événements notables pour une ingestion automatique.

Sélectionner les événements notables en fonction du nom de la règle de corrélation pour le profil pour Splunk ES l’intégration de l’ingestion d’événements

Une fois que vous avez créé un profil pour une ingestion de type d’événement notable planifiée, sélectionnez un nom de Splunk Enterprise Security règle de corrélation pour ce profil pour lequel vous souhaitez mapper les événements notables correspondants à un Now Platform Réponse aux incidents de sécurité incident de sécurité.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Affichez les règles de corrélation disponibles dans votre Now Platform instance afin de connaître les types d’événements notables pour lesquels vous souhaitez ingérer et créer des incidents de sécurité. Sélectionnez une règle de corrélation. Vous pouvez sélectionner un ou plusieurs événements notables dans la liste de ce formulaire.

Procédure

Si la page Sélection d’événement notable n’est pas affichée, sélectionnez-la dans la barre de progression pour l’afficher.

Dans la liste Règle de corrélation, choisissez l’une des options suivantes pour sélectionner une ou plusieurs règles de corrélation et les déplacer et les déplacer de la colonne Disponible vers la colonne Sélectionné.

La liste des règles de corrélation figurant sur ce formulaire correspond à la liste des règles de corrélation dans votre Splunk ES console Revue des incidents. Jusqu’à 500 règles de corrélation sont affichées sur ce formulaire. Si plus de 500 règles de corrélation sont répertoriées dans votre Splunk ES, seuls les 500 premiers événements notables sont affichés sur ce formulaire dans votre Now Platform instance.


Option	Description
Dans le champ de recherche Liste de règles de corrélation, saisissez du texte.	La colonne située sous le champ de recherche est filtrée avec les options disponibles en fonction du texte que vous entrez. Sélectionnez une règle de corrélation et, à l’aide des touches fléchées, déplacez l’alarme sélectionnée de Disponible à Sélectionné.
Dans la liste Règle de corrélation, double-cliquez sur une règle de corrélation.	La colonne Sélectionné est renseignée avec votre sélection.
Dans la liste Règle de corrélation, cliquez sur une règle de corrélation.	La règle de corrélation est sélectionnée. À l’aide des flèches, déplacez la règle de corrélation sélectionnée de Disponible à Sélectionné.

Profil d’événement Splunk ES : sélectionner un événement notable

Choisissez une option pour continuer.

Option	Description
Poursuivez ou cliquez sur Mappage dans la barre de progression	Le formulaire Mappage s’affiche. Le mappage est sélectionné dans la barre de progression. L’étape suivante consiste à mapper les champs d’événements notables à un SIR incident de sécurité.
Mettre à jour	Vos données sont enregistrées et la liste des profils d’événements notables Splunk s’affiche.
Précédent	L’étape Nom s’affiche.
Supprimer	Supprimez ce profil d’événement et la liste des profils d’événements notables Splunk s’affiche.

Que faire ensuite

Vous avez sélectionné avec succès une règle de corrélation pour un profil planifié Splunk Enterprise Security . L’étape suivante consiste à mapper les valeurs d’événements notables aux champs d’un incident de sécurité.

Mappage des champs d’événement notable pour l’intégration Splunk Enterprise Security

Une fois que vous avez identifié la règle de corrélation spécifique et le type d’événement notable pour le profil, l’étape suivante consiste à mapper les champs d’événement notable individuels aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

Vue d'ensemble

Pour l’étape de mappage, vous pouvez ingérer des exemples d’événements notables pour la règle de corrélation sélectionnée ou exporter des données d’événements notables pour les événements notables transférés manuellement. Le processus de mappage d’événements est identique, quel que soit le type de profil que vous créez.

Les figures suivantes sont des exemples des configurations de mappage par défaut fournies pour chaque type de profil d’événement. Vous pouvez personnaliser les champs qui renseignent l’incident de sécurité. Au cours de cette phase de mappage, vous pouvez vous assurer que toutes les données de champ d’événement notables pertinentes sont mappées à l’endroit approprié sur le formulaire d’incident SIR, puis visualiser l’incident SIR dans la section d’aperçu.

Si plusieurs corrélations sont utilisées, les événements notables peuvent être récupérés en sélectionnant l’événement requis. Utilisez le nom de l’alerte pour choisir votre alerte si vous avez configuré plusieurs alertes pour l’ingestion.

Une fois que vous avez cliqué pour extraire les données, les noms de champs d’événements notables et les Splunk valeurs correspondantes sont renseignés sur le côté gauche du formulaire. Il s’agit des champs d’événements Splunk notables qui peuvent être mappés aux champs d’incident SIR de sécurité. Certains champs peuvent être mappés plusieurs fois aux champs d’incident de sécurité SIR.

Vous préférez peut-être examiner quelques exemples d’événements notables sur votre Splunk console à ingérer pour l’étape de configuration du mappage de champ. Cette étape est étiquetée Mappage dans la barre de progression. Si cette page n’est pas affichée, cliquez sur Mappage dans la barre de progression. Vous pouvez ingérer jusqu’à cinq échantillons d’événements notables pour faciliter le processus de mappage des champs d’événements Splunk Enterprise Security notables. Il existe des options permettant d’ingérer les cinq événements notables les plus récents pour la règle de corrélation sélectionnée ou d’ingérer jusqu’à cinq événements notables spécifiques en fonction des ID d’événements notables.

Vous trouverez ci-dessous un résumé des étapes requises pour cartographier les événements notables :

Ingestion d’exemples d’événements notables planifiés : pour les exemples de données utilisés pour les profils d’événements notables ingérés automatiquement, les champs d’événements notables disponibles et leurs valeurs correspondantes sont affichés dans une mise en page de mappage par défaut sur le côté gauche du formulaire de mappage une fois les données d’exemple récupérées. Des onglets s’affichent pour vous permettre d’afficher les valeurs d’un ID d’événement notable spécifique que vous avez extrait. Vérifiez que tous les champs critiques de la section d’ingestion d’échantillons d’événements notables à gauche du formulaire sont mappés aux ServiceNow champs d’incident de sécurité à droite du formulaire.
Mappage de champs : modifiez la configuration du mappage en faisant glisser les champs d’événements notables du côté gauche et en les déposant dans la section de mappage des ServiceNow incidents SIR à droite. Le mappage sur la droite associe le champ d’événement notable entrant à un champ d’incident de sécurité sortant.
Expérience de mappage : personnalisez la grille de mappage en ajoutant ou en supprimant des champs à l’aide de l’icône + située en bas de la section de mappage des champs d’incidents SIR. Suivez les champs négligés ou dupliqués avec le code couleur fourni (les champs mappés sont grisés, les champs bleus ne sont pas mappés).
Conditions de génération d’incidents : une fois la section de mappage terminée, vous pouvez définir des conditions de filtre afin de spécifier quels événements notables doivent créer des incidents de sécurité par rapport à quels événements notables doivent être filtrés, par exemple, les événements notables de faible priorité. Cette opération est effectuée dans la section Conditions de génération d’incident située sous la section Mappage d’événements notables.
Critères d’agrégation d’événements : définissez des critères d’agrégation d’événements supplémentaires qui regroupent un événement notable entrant à un incident de sécurité existant SIR au lieu de créer des incidents similaires, potentiellement en double. En utilisant des critères de correspondance de valeur de champ pour chaque profil, cette option d’agrégation supplémentaire peut réduire le nombre d’incidents de sécurité actifs qui se chevauchent en plaçant toutes les données d’événement notables de sécurité connexes sur un seul incident de sécurité.
Formater la traduction du champ : dans certains cas, les valeurs des champs Événement dans les événements notables Enterprise Splunk peuvent ne pas se traduire directement dans les champs de l’incident SIR de sécurité. Pour ces valeurs, vous pouvez utiliser un éditeur de script pour formater les valeurs de champ sur l’incident de sécurité pendant l’étape de mappage. Utilisez l’éditeur de script si vous souhaitez formater des valeurs similaires, mais pas identiques. Par exemple, avec l’éditeur de script, une valeur de catégorie Alerte de programme malveillant et Infection par un virus peut avoir des valeurs de champ différentes pour la catégorie source, mais les deux valeurs peuvent être traduites en une activité de code malveillant commune dans le champ Catégorie de l’incident de sécurité à l’aide de la SIR fonctionnalité Formater la traduction du champ.

L’étape suivante consiste à ingérer des événements notables et à mapper les valeurs aux champs d’incident SIR de sécurité.

Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (ingestion planifiée)

Au cours de l’étape de mappage de champs d’événements notables, vous mappez les champs d’événements individuels des événements notables aux champs d’un Now Platform Réponse aux incidents de sécurité incident de sécurité (SIR).

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

La grille de mappage peut être personnalisée en fonction du type d’événement notable sélectionné dans la sélection de règle de corrélation. Le code couleur des champs d’événements vous aide à suivre les valeurs d’événements que vous avez déjà mappées à mesure qu’elles deviennent grisées, tandis que tous les champs non mappés restants apparaissent en bleu. Cela vous aide à mieux visualiser les valeurs de champ qui ont été ajoutées à l’incident de sécurité et si des informations d’événement importantes restantes ne sont pas mappées.

Mappez jusqu’à cinq événements notables de la colonne Ingestion d’échantillons d’événements notables à gauche du formulaire aux champs d’incident de sécurité de la colonne Mappage de champ d’incidents SIR à droite.

Créez des mappages personnalisés en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. Les champs par défaut qui sont généralement des champs importants à renseigner sur le formulaire de réponse aux incidents de sécurité s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage située à droite du formulaire. La personnalisation des champs vous permet de mapper Splunk les champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

Procédure

Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
Pour un profil avec une ingestion planifiée, sous Ingestion d’échantillons d’événements notables, cliquez sur Extraire les données d’échantillon pour extraire les derniers exemples d’événements notables de la Splunk Enterprise console pour la règle de corrélation sélectionnée.

Remarque :
Vous pouvez soit extraire les échantillons d’événements notables les plus récents, soit fournir les ID d’événements notables uniques pour les événements notables spécifiques que vous souhaitez utiliser pour votre expérience de mappage d’événements notables.

Les résultats des champs et des valeurs d’événements notables sont affichés sous forme d’onglets individuels. Vous pouvez ingérer jusqu’à cinq événements notables.

L’extraction d’exemples d’événements notables peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran.

Dans la figure suivante, les paires de valeur de nom de champ pour l’événement notable ingéré, ou les exemples d’événements importés, sont affichées sur le côté gauche de ce formulaire une fois l’extraction d’ingestion terminée. Il s’agit des valeurs que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident SIR du formulaire.
Pour faire correspondre une valeur de champ du côté gauche du formulaire à un champ de l’incident de sécurité sur le côté droit du formulaire, cliquez tout en maintenant enfoncé le nom d’un champ bleu sur le côté gauche du formulaire.
Faites glisser le nom du champ, par exemple src_category, et déposez-le sur un champ de la colonne Expression d’entrée en regard d’un nom de champ dans la colonne Incident de sécurité.

La valeur du champ est affichée dans la colonne Expression d’entrée. Dans l’image suivante, src_category est mappé au champ de catégorie de l’incident de sécurité. Toutefois, vous pouvez faire correspondre n’importe quelle valeur du côté gauche à un champ sur la droite. Vérifiez que la valeur est correctement mappée sur l’incident de sécurité pendant l’étape d’aperçu.

Pour vous assurer qu’aucun champ d’événement n’est négligé ou dupliqué dans le processus de mappage, les champs sont codés par couleur. Les champs bleu clair sur la gauche indiquent qu’un champ d’événement notable n’est pas encore sélectionné et mappé sur l’incident de sécurité. Vous préférez peut-être associer un champ notable entrant à plusieurs champs d’un incident de sécurité.

Un champ gris indique qu’un champ a été sélectionné et mappé à un champ de l’incident de sécurité. Ce code couleur vous aide à suivre le mappage.
Pour ajouter des champs aux champs par défaut affichés sur l’incident de sécurité sur le côté droit du formulaire, procédez comme suit.
1. À droite du formulaire, dans la section Mappage du champ d’incidents SIR, au bas de la grille, cliquez sur l’icône plus.
  Un nouveau champ s’affiche.
2. Dans la colonne Incident de sécurité, développez la liste qui s’affiche, puis sélectionnez un champ.
  
  Dans la liste développée du nouveau champ, certains champs sont ombrés. Dans la figure suivante, la catégorie a un arrière-plan gris, car elle a été mappée dans l’incident de sécurité. Semblable au code couleur pour les champs d’événements notables sur le côté gauche du formulaire, ce code couleur pour les champs d’incident de sécurité sur la droite vous aide à suivre les champs d’incident SIR déjà mappés.
  
  Remarque :
  Afin que plusieurs observables puissent être affichés sur le même incident de sécurité, le champ Observable peut être mappé plusieurs fois avec des valeurs différentes. De même, les champs Élément de configuration et Notes de travail prennent en charge plusieurs valeurs. Si vous essayez de mapper deux valeurs à un champ qui ne peut pas prendre en charge plusieurs valeurs, lorsque vous prévisualisez l’incident, un message d’erreur s’affiche indiquant qu’il n’y a aucune valeur pour le champ. De même, si un champ d’un incident de sécurité comporte une liste dans laquelle vous pouvez choisir plusieurs options, et que vous essayez de mapper une option à ce champ qui n’est pas affichée dans la liste, le champ n’est pas renseigné sur l’incident de sécurité.
3. Vous pouvez également saisir une valeur dans le champ Rechercher de la nouvelle ligne.
4. Sur le côté gauche du formulaire, cliquez avec le bouton gauche pour sélectionner l’ID d’événement souhaité dans le champ expression d’entrée.
Poursuivez le mappage en ajoutant ou en supprimant des valeurs de champ au mappage.
La figure suivante est un exemple de mappage modifié. Dans le champ inférieur à droite, le champ Notes de travail est ajouté et comporte plusieurs valeurs. Notez que pour le champ de chaîne de texte long, vous pouvez développer le champ de mappage pour voir la chaîne complète et redimensionner si nécessaire en tirant le coin inférieur droit du champ comme indiqué dans la capture d’écran ci-dessous avec le champ Notes de travail ajouté :

Avertissement :
Veuillez noter que dans la section Mappage du champ d’incident SIR , l’URL et le numéro de port mentionnés dans le champ expression d’entrée ne sont qu’un exemple et non l’URL ou le numéro de port fourni prêt à l’emploi.

Dans l’aperçu, ces valeurs sont affichées dans les notes de travail sur l’incident de sécurité. Étant donné que la valeur concerne un champ que vous avez ajouté à la section de mappage et que plusieurs valeurs sont mappées au champ Notes de travail, les valeurs s’affichent telles que saisies. Dans cet exemple, les espaces et les signes de ponctuation que vous avez entrés dans le champ s’affichent dans la section Éléments connexes sous forme de note de travail sur l’aperçu de l’incident de sécurité.

L’image suivante est un exemple de la façon dont les valeurs de l’image précédente sont affichées sur l’incident de sécurité.
Facultatif : Ouvrez l’éditeur de script et poursuivez la modification.
Pour plus d’informations sur l’éditeur de script, reportez-vous à la section Utiliser l’éditeur de script pour formater les valeurs d’alerte pour l’intégration Splunk Enterprise Event Ingestion.

Inclusion de liens hypertexte pour l’examen des incidents d’événements notables et les événements de contribution

En plus de mapper les champs, sn_si.admin peut mapper une valeur de chaîne qui permet à l’analyste de sécurité travaillant sur un incident d’établir un lien hypertexte vers l’examen de l’incident d’événement notable dans la Splunk Enterprise Security console, ainsi que vers les événements de contribution sous-jacents qui font partie de la recherche approfondie.

Les valeurs de chaîne suivantes contiennent le nom du serveur et les Splunk Enterprise Security variables appropriées qui peuvent être utilisées pour créer un lien hypertexte entre ces détails :
- Revue des incidents d’événements notables Lien hypertexte : https://splunkes2.secops-eng.com:8000/en-US/app/SplunkEnterpriseSecuritySuite/incident_review?earliest=${info_min_time}$&latest=now&form.srch=event_id%3D${event_id}$
  où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et info_min_time et event_id sont des valeurs de champ d’événement extraites des événements notables.
- Événement notable Événements de contribution (recherche explorable) Lien hypertexte : https://splunkes2.secops-eng.com:8000/en-GB/app/SplunkEnterpriseSecuritySuite/search?q=${drilldown_search}$
  où splunkes2.secops-eng.com:8000 est la source du serveur Splunk et drilldown_search est une valeur de champ d’événement extraite des événements notables.
L’image suivante montre l’URL d’examen de l’incident de l’événement notable mappée au champ Note de travail et le lien hypertexte des événements notables contribuant à la recherche (exploration approfondie) mappé à un champ personnalisé appelé URL de l’incident de l’événement notable :

L’image suivante est l’aperçu de l’incident SIR avec le lien hypertexte Revue des incidents d’événements notables et l’URL des événements contributeurs :

Conditions de filtrage de génération d’incidents
Facultatif : Une fois que vous avez terminé les étapes de mappage de champ précédentes, vous pouvez utiliser les mêmes valeurs de champ dans le générateur de conditions de génération d’incident pour définir des critères supplémentaires qu’un événement notable entrant doit satisfaire pour créer un incident de SIR sécurité.
Pour définir les conditions de génération d’incidents, procédez comme suit.
1. Faites défiler la page jusqu’à la section Conditions de génération d’incidents sur le formulaire et cochez la case Filtre basé sur les conditions pour activer l’option.
  
  Le générateur de conditions de filtre s’affiche. Utilisez ces filtres pour créer des incidents de sécurité qui correspondent aux conditions spécifiques décrites dans les champs.
  
  Les options des listes pour le premier champ du générateur de conditions de filtre correspondent aux champs affichés dans la section Ingestion d’échantillons d’événements notables pour les événements que vous avez ingérés. Ces champs sont dynamiques et changent en fonction des Splunk événements notables que vous ingérez ou de l’événement que vous sélectionnez pour les échantillons d’événements notables transférés manuellement. Les critères que vous saisissez sont sensibles à la casse et doivent correspondre exactement aux valeurs de l’événement Splunk Enterprise Security notable. Si vous n’êtes pas sûr des valeurs à saisir dans les champs de filtre, vous préférerez peut-être revenir à votre Splunk Enterprise Security console et passer en revue vos événements notables pour les mots clés.
2. À l’aide des listes et des champs du générateur de conditions, définissez des filtres pour la première ligne.
3. Pour ajouter plus de conditions, à droite des champs, cliquez sur ET ou OU.
  Si ET est sélectionné, toutes les conditions doivent être mises en correspondance. Si OU est sélectionné, l’une ou l’autre des conditions peut être mise en correspondance.
4. Facultatif : Sur la deuxième ligne, définissez une deuxième condition de filtre.
  
  L’image suivante est un exemple avec deux conditions qui doivent être mises en correspondance avant la création d’incidents de sécurité.
  
  Vous avez défini les conditions de génération d’incidents afin que les incidents de sécurité ne soient créés que lorsque les deux conditions de filtrage que vous avez saisies correspondent.
  
  Ce type de filtrage des conditions de génération d’incidents vous aide à affiner les événements de sécurité et à limiter le nombre d’incidents de sécurité inutiles que vous créez sans modifier la recherche de corrélation sous-jacente ou les filtres dans Splunk. Si des critères de filtrage supplémentaires sont définis, seuls les événements notables qui correspondent à tous les critères sont mappés aux incidents.
  
  Remarque :
  Si l’un des noms de champs d’événements contient des caractères spéciaux tels que des guillemets ("), des traits d’union ('), des traits de soulignement (-), at (@) ou des esperluettes (&), ces caractères peuvent devoir être remplacés à des fins de mappage de traduction et éventuellement créer un nom d’événement en double. Le mappage peut être effectué de manière appropriée, mais un suffixe numérique est ajouté pour différencier les champs avec des noms d’événements en double. Par exemple, si le premier champ d’événement est alerts.alert et que le second champ d’événement est alerts@alerts, ces champs ne peuvent pas être identifiés de façon unique, car les caractères de texte standard restants sont identiques. Dans ce cas, un suffixe est ajouté au deuxième champ d’événement et le champ est renommé en alerts@alert(1).
Critères d’agrégation d’événements pour gérer les notables similaires et empêcher les incidents en double
Facultatif : Pour éviter de créer des incidents de sécurité en double, définissez des critères d’agrégation d’événements supplémentaires afin que les événements notables entrants soient regroupés en un incident de sécurité ouvert.
Pour définir les critères, suivez les étapes ci-dessous.
1. Faites défiler la page jusqu’à la section Critères d’agrégation d’événements sur le formulaire et cochez la case Conditions d’agrégat pour activer cette option.
  
  Les champs Incident avec les valeurs correspondantes sont affichés. Ces noms de champs sont les champs de l’incident de sécurité qui incluent tous les champs personnalisés configurés sur l’incident SIR de sécurité.
2. Dans le champ d’entrée à sélection multiple, sélectionnez les valeurs de champ que vous souhaitez faire correspondre sur les incidents de sécurité existants dans votre Now Platform.
3. Utilisez Ajouter de nouveaux critères pour sélectionner plusieurs conditions de correspondance de champ.
  Toutes les valeurs de champ que vous sélectionnez dans le champ d’entrée de sélection multiple sont mises en correspondance pour les critères d’agrégation à l’aide de la condition ET. Cliquez sur Ajouter un nouveau critère pour sélectionner plusieurs conditions de correspondance de champ où l’agrégation se produit si l’une des conditions de champ multi-sélectionnées qui sont définies est remplie à l’aide de la condition OU.
  
  Si un nouvel événement notable correspond à toutes les valeurs sélectionnées dans les conditions de champ d’agrégation à l’étape de mappage, le nouvel événement notable est automatiquement ajouté à l’incident de sécurité le plus récemment ouvert avec les mêmes valeurs de champ. En tant qu’utilisateur ayant le rôle sn_si.analyst travaillant sur des incidents de sécurité, vous pouvez afficher tous les événements notables regroupés ajoutés sur une liste connexe sur un incident de sécurité. Tous les événements notables regroupés d’un incident de sécurité sont affichés dans la Splunk liste connexe Événement à Tâches. Cette liste détaille les horodatages associés et les valeurs de champ agrégées. Ces informations vous aident à comprendre pourquoi ces événements notables sont regroupés à des incidents de sécurité existants. Si cet onglet n’est pas affiché, faites défiler vers la gauche de l’enregistrement sous Liens connexes et cliquez sur le lien Afficher toutes les listes connexes .
4. Facultatif : Pour consigner une note de travail pour un nouvel événement notable récemment ajouté à l’incident de sécurité, cochez la case pour activer cette option.
  La note de travail indique qu’un nouveau notable a été ajouté, ainsi qu’un lien vers les détails de l’alerte et tout autre détail qui a pu être ajouté au champ Note de travail dans votre section de mappage.
Vous avez mappé avec succès les valeurs d’un Splunk événement notable aux champs d’un SIR incident de sécurité. En outre, vous avez configuré des conditions supplémentaires pour limiter la création d’incidents de sécurité avec des critères de filtrage de génération d’incidents. Vous avez également ajouté des événements notables aux incidents de sécurité existants SIR lorsque les valeurs de champ d’événement correspondent aux critères d’agrégation configurés.

Choisissez-en un pour poursuivre la configuration du profil.

Option	Description

Continuer	Le formulaire Mappage s’affiche. L’aperçu est sélectionné dans la barre de progression. L’étape suivante consiste à prévisualiser les champs que vous avez mappés sur un SIR incident de sécurité.
Mettre à jour	Vos données sont enregistrées et la liste des profils d’événements Splunk s’affiche.
Précédent	Le formulaire de sélection des événements notables s’affiche.
Supprimer	Supprimez ce profil d’événement et la liste des profils d’événements Splunk s’affiche.

Que faire ensuite

L’étape suivante consiste à prévisualiser les valeurs que vous avez mappées sur l’incident de sécurité.

Prévisualiser l’incident de sécurité pour l’intégration d’ingestion d’événements Splunk Enterprise Security

Une fois l’étape de mappage terminée, affichez un aperçu des valeurs que vous avez mappées dans un Now Platform® Réponse aux incidents de sécurité incident de sécurité (SIR). Cette étape d’aperçu vous permet de vérifier que vous avez mappé tous les champs notables que vous souhaitez afficher sur l’incident de sécurité.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Prévisualisez un incident de sécurité et modifiez à nouveau le mappage si nécessaire pour corriger les champs contenant des erreurs ou pour renseigner les données manquantes. Si l’aperçu n’est pas effectué avec succès, vous ne pouvez pas passer à l’étape de planification. Les aperçus des incidents de SIR sécurité ne sont pas enregistrés en tant qu’incidents réels dans le SIR produit.

Procédure

Si l’aperçu de l’incident de sécurité ne s’affiche pas, cliquez sur Aperçu dans la barre de progression.
Dans la liste de choix Nom d’événement, sélectionnez un élément si plusieurs événements ont été utilisés.
Sélectionnez les ID d’événements dans la liste de choix Exemples d’ID d’événements notables.
Dans la liste de choix Exemples d’ID d’événements notables, sélectionnez un élément.

L’incident de sécurité s’affiche. Ne modifiez aucune information dans les champs. Cette vue est en lecture seule et aucun enregistrement de cet incident de sécurité n’est enregistré.
Examinez le mappage de champs des valeurs d’événements notables de l’incident de sécurité.

L’image précédente est un exemple d’aperçu avec une erreur de mappage. Dans cet exemple, une valeur de champ de l’événement notable n’a pas de valeur acceptable pour le champ de référence sur le formulaire d’incident SIR. Un message d’erreur s’affiche indiquant qu’une valeur d’entrée n’a pas été trouvée pour le champ Élément de configuration dans la base de ServiceNow® données de gestion des clients (CMDB). Par conséquent, la valeur de ce champ mappé n’apparaîtra pas sur le formulaire d’incident de sécurité SIR sans autre modification.
Pour résoudre cette erreur, cliquez sur Mappage dans la barre de progression.
Modifiez le mappage pour corriger les valeurs incorrectes ou renseigner les données manquantes.
Prévisualisez à nouveau le mappage et continuez à corriger les erreurs décrites dans les messages d’erreur.

La figure suivante est un exemple d’onglet Détails de l’incident dans la moitié inférieure d’un SIR incident de sécurité une fois que tous les messages d’erreur ont été résolus. Pour cet exemple, les champs Description et Notes de travail ont été mappés, et ces champs sont renseignés avec les valeurs des paires de valeurs extraites des échantillons d’événements Splunk Enterprise Security notables. Le premier champ Notes de travail n’a pas de valeur. Ce champ a été laissé vide sur la grille de mappage lors de l’étape de mappage. Les champs Note de travail supplémentaires qui ont des valeurs ont été ajoutés à la section de mappage.

Une fois que vous avez corrigé les erreurs et vérifié que les champs sont comme vous le souhaitez, choisissez une option pour continuer.

Option	Description
Continuer	Le formulaire de planification s’affiche pour les profils avec des événements notables planifiés. La planification est sélectionnée dans la barre de progression.
Fin	Pour les profils configurés pour le transfert manuel d’événements, cliquez sur Terminer. Il n’existe aucune étape de planification pour les profils avec des données d’événement qui sont exportés sur demande directement depuis la Splunk Enterprise Security console.
Mettre à jour	Vos données sont enregistrées et vous revenez à la liste des profils d’événement Splunk .
Précédent	L’étape Mappage s’affiche dans la barre de progression.
Supprimer	Supprimez ce profil d’événement pour afficher la liste des profils d’événement Splunk .

Que faire ensuite

Si aucun message d’erreur n’est affiché et que vous êtes satisfait du mappage de champs sur l’incident de sécurité, l’étape suivante consiste à Planifier et récupérer les alertes pour l’intégration Splunk Enterprise Event Ingestion.

Planifier et récupérer les événements notables nouveaux et mis à jour pour l’intégration d’ingestion d’événements Splunk Enterprise Security

Pour les profils d’ingestion d’événements notables automatisés, cette étape est requise dans la configuration du profil d’événement. Au cours de cette étape, vous pouvez vérifier les paramètres par défaut pour la récupération des événements notables ou modifier la planification si nécessaire. Cette étape vous permet également de récupérer les événements historiques notables à l’aide d’une plage de dates.

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Pour les profils d’ingestion automatisée d’événements notables, vous choisissez si vous souhaitez ingérer tous les événements notables historiques pendant l’étape de planification. Vous choisissez également la fréquence à laquelle vous interrogerez les événements notables futurs nouveaux et les événements notables mis à jour qui correspondent à la configuration du profil d’alerte.

Pour les profils d’ingestion automatisée d’événements notables, avant que le profil ne soit activé, vous vérifiez et modifiez la planification et la récupération des alertes. Il s’agit d’une étape nécessaire pour tout le processus de configuration de profil d’événement pour les profils d’alerte planifiée.

Vous configurez ces intervalles d’interrogation par profil. Les différents intervalles d’interrogation peuvent affecter les performances de l’intégration Splunk de l’ingestion d’événements. Lors de la planification, vous préférerez peut-être trouver un équilibre entre la réduction de la surcharge d’interrogation sur le serveur et le Splunk Enterprise Security désir d’être averti dès que possible lorsqu’un événement notable est créé ou mis à jour. Une valeur par défaut de cinq minutes est définie pour n’importe quel profil, mais vous préférez peut-être modifier ce paramètre à une minute si nécessaire.

Extraction d’événements notables nouveaux et mis à jour

Lorsque la planification d’interrogation est définie, la tâche planifiée extrait les événements notables nouveaux et mis à jour qui ont été extraits précédemment, mais qui ne répondent pas aux critères de filtrage des incidents. Cela vous donne la possibilité de créer des incidents basés sur des critères qui peuvent ne pas être présents lors de la création d’un événement notable pour la première fois, mais qui deviennent disponibles après une mise à jour (par exemple, pendant la phase d’enquête). Une fois qu’un incident a été créé pour un événement notable spécifique, ses mises à jour ultérieures sont ignorées, car il est prévu que l’incident notable soit maintenant traité comme un incident de sécurité actif ServiceNow® . Toutefois, tous les autres notables qui ont été précédemment ingérés mais qui n’ont pas réussi à répondre aux critères de génération d’incidents continueront d’être extraits et vérifiés par rapport aux critères de génération d’incidents jusqu’à ce qu’ils fassent partie d’un incident actif.

Procédure

Si la page Planification de la barre de progression ne s’affiche pas, sélectionnez Planification.

Choisissez-en un pour planifier comment et quand les événements notables sont extraits de la Splunk Enterprise Security console.

Option	Description
Champ d’ingestion d’événements en cours sélectionné Champ Récupération ponctuelle effacé	Événement en cours En fonction du paramètre par défaut, l’instance Now Platform extrait du Splunk Enterprise Security serveur les événements notables nouveaux et mis à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des événements notables sont détectés et que les critères de filtrage de génération d’incidents sont mis en correspondance. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être réduite à une minute si nécessaire.
Champ Événement notable en cours effacé Champ de récupération ponctuelle sélectionné	Récupération ponctuelle Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des événements historiques notables. Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer des événements notables à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Depuis la date, les événements notables sont récupérés jusqu’à la date actuelle. Notez que vous pouvez revenir jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements Splunk Enterprise Security historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours qui sont activement traités au moment de l’activation du profil. Une fois les événements notables extraits, ce paramètre ne récupère pas d’autres événements notables pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements notables trouvés pour la plage que vous saisissez.

Option

Description

Champ d’ingestion d’événements en cours sélectionné
Champ Récupération ponctuelle effacé

Événement en cours

En fonction du paramètre par défaut, l’instance Now Platform extrait du Splunk Enterprise Security serveur les événements notables nouveaux et mis à jour toutes les cinq minutes. Les incidents de sécurité sont créés si des événements notables sont détectés et que les critères de filtrage de génération d’incidents sont mis en correspondance. Pour équilibrer le désir d’obtenir les données les plus récentes, le paramètre par défaut est de cinq minutes. Toutefois, cette valeur peut être réduite à une minute si nécessaire.

Champ Événement notable en cours effacé
Champ de récupération ponctuelle sélectionné

Récupération ponctuelle

Utilisez cette configuration si vous souhaitez une extraction ponctuelle pour ingérer des événements historiques notables.

Lorsque ce paramètre est configuré, un profil est utilisé une fois pour récupérer des événements notables à partir d’événements historiques basés sur une plage de dates. À droite du champ Depuis la date, cliquez sur l’icône Calendrier. Dans le calendrier qui s’affiche, sélectionnez la date à laquelle vous souhaitez commencer à extraire des alertes. À partir de la valeur Depuis la date, les événements notables sont récupérés jusqu’à la date actuelle. Notez que vous pouvez revenir jusqu’à sept jours en arrière à partir de la date actuelle. Cette fonctionnalité n’est pas destinée à récupérer des quantités importantes d’événements Splunk Enterprise Security historiques pour des raisons d’archivage, mais plutôt un nombre minimal d’événements en cours qui sont activement traités au moment de l’activation du profil.

Une fois les événements notables extraits, ce paramètre ne récupère pas d’autres événements notables pour ce profil à partir de la date actuelle. Ce paramètre renseigne l’incident de sécurité avec tous les événements notables trouvés pour la plage que vous saisissez.

Page de planification avec le calendrier affiché.

Par exemple, pour planifier une heure d’ingestion d’événement notable initial, si vous avez un contrôle de sécurité quotidien Splunk qui s’exécute une fois par jour à 4 heures du matin, heure locale, vous pouvez configurer le profil d’événement notable correspondant dans votre Now Platform instance pour qu’il s’exécute à 4 h 05, heure locale, pour capturer immédiatement l’événement de défaillance de sécurité et créer un incident de sécurité. Saisissez 04 05 00 dans le champ Ingestion de l’événement initial. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures) pour planifier la prochaine ingestion d’événement pendant 24 heures à compter de l’ingestion d’événement initiale. Le délai d’ingestion de l’événement initial et l’heure d’ingestion de l’événement suivant sont affichés dans les champs.

Pour configurer les paramètres de cet exemple, procédez comme suit.
1. Une fois la page Planification affichée, cochez la case Ingestion d’événements en cours pour activer cette option.
2. Dans le champ Incrémentation (minutes), saisissez 1 440 (24 heures).
3. Cochez la case Sélectionner l’ingestion d’événement initial pour activer la modification des champs Ingestion d’événement initial et Ingestion d’événement suivant.
4. Dans le champ Ingestion de l’événement initial, saisissez 04 05 00.
  Dans le champ Ingestion d’événement suivante (estimée), l’heure de l’ingestion d’événement suivante s’affiche.

Cliquez sur l’un des éléments suivants pour poursuivre la configuration du profil.

Option	Description
Continuer	Le formulaire Options supplémentaires s’affiche. Options supplémentaires est sélectionnée dans la barre de progression. L’étape suivante consiste à mettre à jour les événements notables lorsque l’incident SIR est créé et/ou fermé.
Mettre à jour	Vos données sont enregistrées et la liste des profils de sécurité d’événement s’affiche Splunk .
Précédent	Le formulaire de planification s’affiche.
Supprimer	Supprimez ce profil d’événement pour afficher la liste des profils d’événement Splunk Enterprise Security .

Automatiser les mises à jour et les clôtures d’événements notables en fonction de l’état de l’incident SIR

Les incidents de sécurité peuvent être créés et mis à jour après leur création grâce à une interface bidirectionnelle avec l’intégration Splunk Enterprise Security .

Avant de commencer

L’intégration Splunk Enterprise Security dispose d’une interface bidirectionnelle qui permet aux événements notables de créer des incidents de sécurité et de mettre à jour les événements notables après la création et/ou la clôture de l’incident de sécurité.

Les détails pertinents de l’incident comprennent le SIR numéro d’incident, le groupe d’affectation et l’URL SIR de l’incident. Cette section constitue la dernière partie de la configuration du profil qui fournit des options facultatives pour mettre à jour les Splunk Enterprise Security événements notables.

Rôle requis : sn_si.admin

Procédure

Si la page Options supplémentaires de la barre de progression ne s’affiche pas, sélectionnez Options supplémentaires.

Suivez les instructions ci-dessous pour terminer la configuration de la mise à jour des événements notables en fonction des mises à jour des incidents de sécurité.

Option ou champ	Description
Mettre à jour les événements notables lors de la création de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable. Cela peut se produire à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité, ainsi que pour les événements agrégés.
Mise à jour de l’état de l’événement notable initial	Vous devez sélectionner dans le menu une option d’état qui affiche toutes les valeurs d’état disponibles récupérées à partir du Splunk Enterprise Security serveur. Cela peut inclure un état créé personnalisé, tel que ServiceNow - Affecté, comme illustré dans la capture d’écran ci-dessous. Sélectionnez la valeur d’état à définir pour tous les événements notables lorsqu’un incident de sécurité est créé pour un événement notable ingéré. Cela inclut les notables qui créent de nouveaux incidents et les notables qui sont ingérés et agrégés à un incident ouvert existant.
Commentaires initiaux renvoyés à l’événement notable	Outre la mise à jour de la valeur d’état notable, vous pouvez également publier des commentaires sur l’historique d’examen des incidents d’événements notables. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section des commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom du champ}$ pour n’importe quel champ du formulaire d’incident Réponse aux incidents de sécurité .
Clôturer les événements notables lors de la fermeture de l’incident SIR	Sélectionnez cette option si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est fermé à partir de l’événement notable. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés.
Mise à jour de l’état de l’événement de fermeture notable	Vous devez sélectionner une option d’état dans le menu Liste qui affiche toutes les valeurs d’état disponibles récupérées à partir du Splunk Enterprise Security serveur. Cela peut inclure un état créé personnalisé, tel que ServiceNow - Affecté, comme illustré dans la capture d’écran ci-dessous. Sélectionnez la valeur d’état à définir pour tous les événements notables lorsqu’un incident de sécurité est créé pour un événement notable ingéré. Cela inclut les notables qui créent de nouveaux incidents ainsi que les notables qui sont ingérés et agrégés à un incident ouvert existant.
Commentaires de fermeture publiés dans Événement notable	Outre la mise à jour de la valeur d’état notable, vous pouvez également publier des commentaires de fermeture dans l’historique d’examen des incidents d’événements notables. Comme indiqué dans les instructions, vous pouvez modifier le texte par défaut affiché dans la section des commentaires, y compris ajouter ou modifier les variables de substitution en utilisant le format ${nom du champ}$ pour n’importe quel champ du formulaire d’incident Réponse aux incidents de sécurité .

Cliquez sur Terminer pour terminer la configuration.
Une boîte de dialogue de confirmation s’affiche. Vous avez terminé avec succès l’installation et la configuration de l’intégration. Activez ce profil pour extraire des événements notables de la Splunk Enterprise Security console en fonction de votre planification. Il existe une limite de 1 000 incidents de sécurité pouvant être créés dans une période de 24 heures. Jusqu’à 100 événements notables sont par alerte déclenchée. Les événements notables suivants sont ignorés une fois les limites atteintes.
L’image suivante montre l’onglet Options supplémentaires avec les valeurs par défaut renseignées :

Lorsque la configuration des options supplémentaires est activée, l’examen de l’incident d’événement notable affiche le changement de statut et une mise à jour des commentaires de l’historique :

Configurer un profil pour le transfert manuel d’événements

Selon le profil défini, Splunk ES les événements notables sont transmis manuellement sous forme d’événements notables discrets dans l’environnement Opérations de sécurité de votre Now Platform instance.

Pour configurer un profil pour le transfert manuel d’événements notables :


Tâche	Section
Créer un profil d’événement	Reportez-vous à la rubrique Créer des profils pour les événements transférés manuellement.
Mapper les champs d’événements notables	Reportez-vous à la rubrique Mappage des champs d’événement notable pour l’intégration Splunk Enterprise Security.
Créer des mappages personnalisés	Reportez-vous à la rubrique Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (transfert manuel).
Prévisualiser l’incident de sécurité	Reportez-vous à la rubrique Prévisualiser l’incident de sécurité pour l’intégration d’ingestion d’événements Splunk Enterprise Security.
Configurer votre environnement pour l’ingestion Splunk manuelle	Reportez-vous à la rubrique Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables.
Automatiser les mises à jour et les clôtures d’événements notables en fonction de l’état de l’incident SIR	Reportez-vous à la rubrique Automatiser les mises à jour et les clôtures d’événements notables en fonction de l’état de l’incident SIR.

Créer des profils pour les événements transférés manuellement

Vous pouvez configurer un profil pour les événements transférés manuellement.

Avant de commencer

Rôle requis : sn_si.admin

Procédure

Pour créer un profil qui prend en charge le transfert manuel d’événements, procédez comme suit.

Pour les événements que vous transférez à la demande à partir de votre Splunk Enterprise Security console, vous pouvez baser le mappage de champs individuel sur n’importe quel profil existant. Vous pouvez également créer une grille de mappage pour les données de pièce jointe exportées. Les événements que vous transférez manuellement ne sont pas planifiés dans le profil d’événement.

Si ce n’est pas déjà fait, dans la liste de choix du champ Type, sélectionnez Transfert d’événements manuel.

Dans le champ Option de mappage qui s’affiche, dans la liste de choix, choisissez une option de mappage pour continuer.

Reportez-vous aux figures et tableaux suivants pour plus d’informations sur les options de mappage disponibles dans la liste de choix Options de mappage.

Tableau 3. Créer une nouvelle option de mappage de champs
Option ou champ	Description
Créer une option de mappage de champs	Nouveau mappage de champs pour votre événement. Si vous n’avez pas de mappage de champs similaire au profil que vous créez, sélectionnez cette option pour créer une nouvelle carte.
Profil par défaut	Profil de transfert d’événements par défaut pour tous les Splunk événements. La valeur par défaut est effacée (désactivée). Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Ce profil est utilisé lorsqu’il n’y a aucune correspondance sur la source de l’événement transféré manuellement. Il devient le profil par défaut pour tous les événements de sources inconnues. Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ Événement notable)	Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché le notable, par exemple, les attaques par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée. S’il est disponible, ce champ permet un mappage de champs d’événements uniques sur les champs d’incident de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements. Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événement de profil en fonction de la règle de corrélation pour satisfaire à cette exigence.
Automatiser les mises à jour des événements notables	Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident SIR est créé à partir de l’événement notable et/ou lorsque l’incident SIR est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident SIR, ainsi que pour les événements agrégés.
Source (Splunk serveur)	Serveur Splunk que vous avez configuré comme source des événements notables. Si plusieurs serveurs sont Splunk configurés, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
Ordre	La valeur par défaut est 100. Laissez ce paramètre par défaut. Si vous avez créé un grand nombre de profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description	Texte pour vous aider à distinguer ce profil des autres profils.

Pour un profil avec un nouveau mappage de champs, vérifiez que vous avez saisi une valeur dans le champ Type de source et cliquez sur Continuer pour passer à l’étape de mappage de la configuration.

Pour un profil avec un mappage de champs existant, reportez-vous à la figure et au tableau suivants pour plus d’informations.

Tableau 4. Sélectionner un profil existant pour l’option de mappage de champ
Option ou champ	Description
Sélectionner un profil existant pour le mappage de champs	Réutilisez un mappage de champ existant pour votre nouveau profil d’événement notable. Le champ Copier à partir du profil s’affiche. Suivez ces étapes pour copier un mappage de champs existant pour ce profil. À gauche du champ Copier à partir du profil qui s’affiche, cliquez sur l’icône de recherche. Dans la liste Profils d’événements ES qui s’affiche Splunk , cliquez sur le nom du profil qui contient la carte que vous souhaitez copier. Le nom du profil s’affiche dans le champ Copier à partir du profil.
Profil par défaut	Profil de transfert d’événements par défaut pour tous les événements notables avec une Splunk source sans correspondance. La valeur par défaut est effacée (désactivée). Lorsque cette option est activée, ce profil devient le profil par défaut pour le transfert manuel d’événements. Le champ Source n’est pas disponible si l’option de profil par défaut est activée.
Source (champ Événement notable)	Il s’agit d’un champ qui définit généralement la règle de corrélation qui a déclenché le notable, par exemple, les attaques par force brute. Ce champ n’est pas disponible si l’option de profil par défaut est activée. S’il est disponible, ce champ permet un mappage de champs d’événements uniques sur les champs d’incident de sécurité en fonction de la règle de corrélation Splunk qui est généralement différente pour différents types d’événements. Si vous souhaitez gérer différentes règles de corrélation séparément, vous pouvez créer différents profils d’événement de profil en fonction de la règle de corrélation pour satisfaire à cette exigence.
Automatiser les événements notables	Cochez cette case si vous souhaitez mettre à jour l’état de l’événement notable et ajouter des commentaires supplémentaires lorsqu’un incident de sécurité est créé à partir de l’événement notable ou lorsque l’incident de sécurité est fermé. Cela se produit à la fois pour les événements notables déclencheurs initiaux qui créent l’incident de sécurité et pour les événements agrégés.
Source (Splunk serveur)	Splunk Serveur ou extrémité de recherche que vous avez configuré comme source des événements notables. Si plusieurs serveurs sont Splunk configurés, sélectionnez le serveur approprié pour les types d’événements notables qui seront mis à jour pour le profil. Vous devez saisir une valeur.
Ordre	La valeur par défaut est 100. Laissez ce paramètre par défaut. Si vous avez créé plusieurs profils, cette valeur fournit une priorité d’exécution lorsque deux profils ou plus partagent des conditions de déclenchement. Le workflow dans le profil avec le numéro le plus bas a la priorité la plus élevée.
(Facultatif) Description	Texte pour vous aider à distinguer ce profil des autres profils.

Au bas du formulaire de sélection d’un mappage existant pour votre profil, cliquez sur Terminer pour terminer la configuration du profil.

Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (transfert manuel)

Avant de commencer

Rôle requis : sn_si.admin

Pourquoi et quand exécuter cette tâche

Créez des mappages personnalisés en ajoutant ou en supprimant des champs sur la grille de mappage sur le côté droit du formulaire. Les champs par défaut, qui sont généralement des champs importants à renseigner sur le formulaire d’incident SIR, s’affichent. Toutefois, ces champs peuvent être supprimés et tous les champs supplémentaires peuvent être affichés à l’aide des boutons + et -. Créez des cartes personnalisées en ajoutant ou en supprimant des champs sur la grille de mappage située à droite du formulaire. La personnalisation des champs vous permet de mapper Splunk les champs qui ne sont pas affichés sur la grille de mappage par défaut de l’incident SIR de sécurité.

Procédure

Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
Suivez ces étapes pour charger les données de la pièce jointe dans votre Now Platform® instance.
1. Si vous n’êtes pas déjà connecté, connectez-vous à votre Splunk Enterprise console.
2. Accédez à l’onglet Rechercher et entrez un nom pour une recherche qui contient les données d’événements notables que vous souhaitez exporter.
  Un exemple de format de recherche pour récupérer des événements notables pour la règle de corrélation du comportement d’accès en force brute serait le suivant : 'notable'|search source="Access - Comportement d’accès en force brute détecté - Règle ».
3. Développez l’événement notable et, dans la colonne Champ, sélectionnez les champs que vous souhaitez importer.
  
  Ces champs correspondent aux paires champ-valeur qui sont exportées et affichées sur la page de mappage de votre Now Platform® instance.
4. Dans votre Splunk Enterprise console, en haut à droite de la page de recherche, cliquez sur l’icône Exporter .
5. Dans la liste de choix du champ Format de la boîte de dialogue qui s’affiche, cliquez sur Format XML.
6. Facultatif : Entrez un nouveau nom de fichier.
7. Cliquez sur Exporter.
  
  Le fichier XML de l’événement notable exporté Splunk doit maintenant être téléchargé sur votre Now Platform® instance.
8. Si la page Mappage n’est pas déjà affichée dans votre Now Platform® instance, cliquez sur Mappage dans la barre de progression.
9. Dans la colonne Ingestion d’échantillons d’événements notables, cliquez sur Charger les données de la pièce jointe.
10. Dans la boîte de dialogue qui s’affiche, cliquez sur Choisir des fichiers et accédez au fichier .xml que vous avez exporté, puis cliquez sur Ouvrir.
  Une fois que vous avez cliqué pour charger les données de pièce jointe pour les événements transférés manuellement, les champs d’événements Splunk ES notables sont renseignés sur le côté gauche du formulaire. Il s’agit des valeurs de champ que vous mappez aux champs d’incident de sécurité du côté Mappage du champ d’incident Sir du formulaire.
  
  Les paires de valeurs des champs que vous avez exportés pour l’événement s’affichent sur le côté gauche du formulaire de mappage.
Suivez les étapes 5 à 10 de la Créer des mappages pour Splunk ES l’examen des incidents d’événements notables et les détails de l’événement de contribution (ingestion planifiée) section.

Configurer votre Splunk environnement pour l’ingestion manuelle d’événements pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables

Installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion for application dans Splunk Enterprise Security votre console d’entreprise ou votre Splunk instance Splunk Cloud si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise Security console pour cette intégration.

Avant de commencer

L’installation et la configuration du module complémentaire d’ingestion d’événements Security Operations pour l’application ServiceNow dans Splunk Enterprise Security votre console d’entreprise ou votre Splunk instance Splunk Cloud sont facultatives.

Vérifiez que vous avez installé l’application pour cette intégration avant ServiceNow Store d’installer le module d’extension du module d’extension à partir de splunkbase requis pour l’ingestion manuelle d’événements. Si vous n’avez pas installé l’application pour l’intégration à partir de , ServiceNow Storeconsultez Installez et configurez l’application ServiceNow pour l’intégration de l’ingestion d’événements Splunk Enterprise Security notables et suivez les instructions pour l’installer.

Rôle requis : Splunk Enterprise Security administrateur

Pourquoi et quand exécuter cette tâche

Si vous souhaitez exporter des événements manuellement et à la demande à partir de votre Splunk Enterprise console pour l’intégration, téléchargez, installez et configurez le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise Security from splunkbase dans votre Splunk Enterprise Security console. Ce ServiceNow module complémentaire d’extension est nécessaire pour que des incidents de sécurité puissent être créés à partir d’événements exportés manuellement dans votre Now Platform instance. Ce ServiceNow module complémentaire d’ingestion d’événements Security Operations pour Splunk Enterprise Security l’application est disponible sur splunkbase.

Pour le transfert manuel d’événements, vous pouvez identifier jusqu’à deux points de terminaison différents Now Platform (instances) dans votre Splunk Enterprise Security console. Vous transférez manuellement les événements au ou aux points de terminaison pour créer des incidents de sécurité. Par exemple, vous pouvez spécifier à la fois une instance intermédiaire (développement) et une instance de production. En spécifiant des instances distinctes et en nommant les workflows primaire et secondaire pour chaque instance, vous pouvez choisir où vous souhaitez transférer différents événements.

Procédure

Si vous n’avez pas encore installé le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise Security, procédez comme suit pour l’installer et le configurer.
1. Accédez à splunkbase.
2. Recherchez le module complémentaire d’ingestion d’événements ServiceNow Opérations de sécurité Security Operations pour Splunk Enterprise Security.
  
  Remarque :
  Vérifiez que vous avez sélectionné ServiceNow Opérations de sécurité le module complémentaire d’ingestion d’événements pour Splunk Enterprise Security. D’autres ServiceNow modules complémentaires sont affichés dans cette liste. Ces modules complémentaires sont destinés à différentes ServiceNow Splunk intégrations et ne sont pas nécessaires pour cette intégration.
3. Téléchargez l’application.
4. Ouvrez votre Splunk Enterprise Security compte.
5. Sur la page Applications, cliquez sur l’icône en forme d’engrenage ou sur le raccourci Gérer les applications dans la liste déroulante du menu.
6. En haut à gauche de la page Applications qui s’affiche, cliquez sur Installer l’application à partir d’un fichier.
7. Cliquez sur Choisir un fichier, sélectionnez ServiceNow le module complémentaire Security Operations Event Ingestion pour Splunk Enterprise Security, puis cliquez sur Charger.
8. Si vous y êtes invité, redémarrez Splunk Enterprise.
  Le ServiceNow module complémentaire Security Operations Event Ingestion for Splunk Enterprise Security est installé dans votre Splunk Enterprise Security console. L’étape suivante pour configurer l’addon.

Pour configurer l’additif, procédez comme suit.

Dans Splunk Enterprise Security, cliquez sur l’icône en forme d’engrenage Applications ou sur Gérer les applications dans la liste déroulante du menu.
Dans la liste des applications qui s’affiche, dans la colonne Actions , cliquez sur Configurer le module complémentaire d’ingestion d’événementsServiceNow Opérations de sécurité pour Splunk Enterprise Security.
Remplissez le formulaire.

La figure suivante est un exemple de formulaire rempli dans votre Splunk Enterprise Security console.

Champ de la section Spécifier l’instance primaire ServiceNow	Description
Étiquette de l’action du workflow	Nom du workflow de Now Platform votre instance de production (principale). Ce nom est le nom d’une Now Platform instance que les utilisateurs qui surveillent Splunk les événements identifient comme instance primaire, par exemple, ServiceNow Ingestion d’événements (Production). La valeur par défaut pour ce champ est Ingestion d’événements ServiceNow (production). Dans votre Splunk Enterprise Security console, ce nom de workflow s’affiche pour l’instance de production (primaire) dans la liste déroulante `Actions d’événement` développée d’une recherche. Ce nom est le nom de votre instance de production. Vous pouvez modifier le nom.
URL	URL de l’instance Now Platform que vous avez saisie dans le champ d’étiquette Action du workflow précédent. Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison	Chemin de l’API de base. Pour plus d’informations, reportez-vous à la figure qui suit le tableau. Si vous n’avez pas de valeur pour le point de terminaison de votre Now Platform instance de production, procédez comme suit. Connectez-vous à votre Now Platform instance de production en tant qu’utilisateur avec le rôle d’administrateur système (admin). `Entrez les API REST basées` sur un script dans le panneau de navigation. Une fois le panneau de navigation actualisé, sélectionnez le module API REST scriptées qui s’affiche. Si l’ingestion d’événements n’est pas répertoriée dans la colonne Nom de la liste `des API REST scriptées` qui s’affiche, saisissez `Ingestion d’événements` dans le champ de recherche en haut. Dans la colonne Chemin de l’API de base de la page actualisée, copiez cette valeur et collez-la dans le champ Point de terminaison du formulaire. Un exemple de chemin d’accès de l’API de base est `/api/sn_sec_splunk_v2/event_ingestion`.
Nom d'utilisateur	Nom d’utilisateur de votre Now Platform instance. Ce nom est le nom d’utilisateur de l’instance Now Platform dans laquelle vous avez affecté un utilisateur avec le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements. Pour plus d’informations sur l’affectation de ce rôle, reportez-vous à la section Configurer votre Now Platform instance pour l’intégration Splunk Enterprise Event Ingestion.
Mot de passe	Mot de passe de votre Now Platform instance. Ce mot de passe est le mot de passe de l’instance Now Platform dans laquelle vous avez affecté à un utilisateur le rôle (sn_sec_splunk_v2.api_account_access) pour le transfert manuel d’événements.
(Facultatif) Champs de la section Spécifier l’instance secondaire ServiceNow	Description Ces champs sont facultatifs. Vous n’êtes pas obligé de spécifier une instance secondaire.
Étiquette de l’action du workflow	Nom du workflow de Now Platform votre instance secondaire (intermédiaire). Ce nom est le nom d’une Now Platform instance que vos utilisateurs qui surveillent Splunk les événements identifient comme une instance secondaire, par exemple, ServiceNow Ingestion d’événements (Intermédiaire). Dans votre Splunk Enterprise Security console, ce nom de workflow est affiché pour l’instance intermédiaire (secondaire) dans la liste déroulante Actions d’événement développée d’une recherche. Cette Now Platform instance est votre instance intermédiaire. Vous pouvez modifier le nom.
URL	URL de l’instance Now Platform que vous avez saisie dans le champ Étiquette Action du workflow précédent pour l’instance secondaire Now Platform . Copiez l’URL dans votre navigateur et collez-la dans ce champ du formulaire.
Point de terminaison	Chemin de l’API de base. Cette valeur du chemin de l’API de base de votre instance secondaire est la même que celle du chemin de l’API de base de votre instance principale. Voir la figure précédente du formulaire pour plus d’informations.
Nom d'utilisateur	Nom d’utilisateur de votre Now Platform instance intermédiaire. L’utilisateur doit avoir le rôle (sn_sec_splunk_v2.api_account_access).
Mot de passe	Mot de passe de votre Now Platform instance intermédiaire. L’utilisateur doit disposer du rôle (sn_sec_splunkes.api_account_access).

La figure suivante est un exemple de la liste API REST scriptées dans votre Now Platform. La liste affiche l’emplacement de la valeur de point de terminaison d’une Now Platform instance que vous saisissez dans le formulaire dans le cadre de la configuration ServiceNow du module complémentaire Security Operations Event Ingestion for extension dans Splunk Enterprise Security votre Splunk Enterprise Security console.
Chemin de l’API de base mis en surbrillance.

Chemin de l’API de base mis en surbrillance.

Dans le formulaire de configuration de votre Splunk Enterprise Security console, cliquez sur Enregistrer pour enregistrer vos modifications.

Après quelques instants, en haut à gauche du formulaire de votre Splunk Enterprise Security console, un message s’affiche indiquant que l’enregistrement a été mis à jour avec succès.

Une fois le formulaire enregistré, les noms (étiquettes d’action de workflow) de vos Now Platform instances que vous avez créées dans le formulaire sont disponibles dans la liste de choix Actions d’événement sur un événement sélectionné d’une recherche dans votre Splunk Enterprise Security console.

Que faire ensuite

Si vous n’avez pas encore enregistré les recherches dans votre Splunk Enterprise Security console, l’étape suivante consiste à enregistrer les recherches sous forme d’alertes dans votre Splunk Enterprise Security console.